21 Апреля, 2017

Сказки о безопасности: Unicode для фишинга

Владимир Безмалый

— Доброе утро, шеф! У нас новости, — сияющее лицо Риты казалось светится радостью.

— Что случилось, Рита? Уж больно ты радостная.

— Да, увидела весьма интересный метод проведения фишинговой атаки. Организовывается подставной сайт под именем известного домена. Внешне адрес неотличим. Работает приблизительно на половине известных браузеров.

— Ух ты! Но как?

— Атака основывается на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Для обхода существующей защиты (смешивания символов из разных кодировок) достаточно зарегистрировать домен, состоящий только из unicode-символов.

— Погоди, но ведь в таком случае отличить адреса внешне невозможно!

— Да в том и дело! Мы уже отправили описание найденной уязвимости производителям браузеров. Ждем исправления.

— Рита, ваш исследовательский отдел вполне оправдывает вложенные деньги! Вы меня порадовали. Спасибо!

Увы, такая атака не фантастика. Сегодня метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave. Патч для Chrome разрабатывается.

comments powered by Disqus